20.3.2017

Kohti uusia liiketoimintamahdollisuuksia: näin hallitset tietosuojariskejä

Yksi tulevan tietosuoja-asetuksen keskeisimpiä tavoitteita on tietosuojalainsäädännön tehokkaampi täytäntöönpano. Tämä näkyy muun muassa siinä, että kansallisille valvontaviranomaisille on myönnetty valtuudet langettaa hyvinkin suuria sakkoja lainvastaisesta henkilötietojen käsittelystä.

Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Ne ovat siis rekisterinpitäjiä, joiden täytyy noudattaa henkilötietolainsäädäntöä. Asetus tuokin tässä mielessä tietosuojan aivan uudessa mittakaavassa osaksi kaikkien yritysten riskienhallintaa. Näiden riskien asianmukainen ja tehokas tunnistaminen, hallinta ja minimointi ei kuitenkaan onnistu, jos yritykset lähestyvät asiaa vain omien liiketoimintariskiensä näkökulmasta eivätkä muista, kenen riskeistä todellisuudessa on kyse.

Tietosuojariski on aina yksilön riski

Henkilötietolainsäädäntö on luotu suojelemaan yksilöiden – minun, sinun ja meistä jokaisen – oikeutta tietojensa yksityisyyteen. Myös henkilötietojen asiattomaan käsittelyyn liittyvä riski kohdistuu ensisijaisesti yksilöön. Jos asiaa lähestyy numeroiden valossa, lainsäätäjä on vääntänyt tämän lähes rautalangasta tulevassa asetuksessa: sana ”riski” esiintyy tietosuoja-asetuksessa noin 70 kertaa, mikä on nykyiseen tietosuojadirektiiviin verrattuna peräti kymmenkertainen määrä.

Tietosuoja-asetuksessa korostetaan siis rekisterinpitäjien velvollisuutta arvioida ja suunnitella käsittelytoimensa niin, että niihin liittyvät yksilötason riskit otetaan ennakoivasti huomioon. Ei riitä, että yritykset ottavat tietosuojariskit osaksi olemassa olevia riskienhallintaprosessejaan, vaan riskiajattelun tulee näkyä ja olla läsnä kaikessa rekisterinpitäjän tietosuojatyössä.

Tietosuojalainsäädännön asianmukainen implementointi ei onnistu, ellei lähtökohtana pidetä yksilölle aiheutuvien potentiaalisten vaikutusten arviointia. Miten esimerkiksi voidaan valita oikea lakiperuste (kuten selvittää, onko rekisterinpitäjän oikeutettu etu tasapainoisessa suhteessa yksilön oikeuksiin nähden) tai määrittää käsittelyn asianmukainen tietoturvataso, jos ei tiedetä, millaisten yksilötason riskien parissa työskennellään?

Systemaattisuudella monta riskiä yhdellä iskulla

Sisään rakennetun tietosuojan (privacy by default) periaatteen mukaisesti yritysten tulisi tunnistaa ja huomioida yksilöihin kohdistuvat riskit jo hyvissä ajoin ennen tietojenkäsittelyn aloittamista. Riskien tunnistamiseksi yritysten kannattaa ottaa käyttöön jonkinlainen vaikutustenarviointimalli (privacy impact assessment), jonka avulla tietojenkäsittelyyn liittyviä riskejä voidaan arvioida ja dokumentoida systemaattisesti.

Yksi uuden tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Edellä jo mainittu riskienhallinta on oleellinen osa tämänkin velvollisuuden täyttämistä.

Systemaattinen, yksilön riskit huomioon ottava tietosuoja ei pelkästään suojaa yrityksiä turhilta sakoilta ja muilta seuraamuksilta, vaan ylläpitää lisäksi yksilöiden luottamusta yritystä kohtaan. Se taas toimii pohjana seuraavalle askeleelle, jossa tietosuoja muuttuu riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Juuri tähän yrityksen tulisikin pelkän riskien välttämisen sijaan pitkällä aikavälillä pyrkiä.

Uusimmat referenssit

Avustimme Pohjoismaiden suurinta itsenäistä tv- ja elokuvatuotantoyhtiötä Yellow Film Studios Oy:tä sen strategisessa yhdistymisessä tanskalaisen elokuva-alan myynti- ja rahoitusyhtiön REinventin kanssa. Yhdessä ne muodostavat Reinvent Yellow -konsernin, joka toimii yhtenäisenä keskuksena TV- ja elokuvatuotannolle, myynnille, rahoitukselle ja innovaatioille, yhdistäen yli kolmen vuosikymmenen tuotantokokemuksen sekä laajan, yli tuhannen nimikkeen katalogin.
Julkaistu 8.10.2025
Edustimme menestyksekkäästi jälleenvakuutuspaneelia kansainvälisessä ad hoc -välitysmenettelyssä. Riita aiheutui jälleenvakuutussopimuksesta, joka koski ensivakuuttajan vakuuttaman riskiportfolion jälleenvakuuttamista. Osapuolet olivat erimielisiä siitä, kattoiko jälleenvakuutus tietyn vahingon, joka johtui koronaviruspandemian aiheuttamasta markkinahäiriöstä. Asiassa otettiin kantaa erittäin monimutkaisiin juridisiin ja sopimuksellisiin kysymyksiin, ja siinä edellytettiin jälleenvakuutussääntelyn ja -käytännön erityisosaamista. Välitysoikeus hylkäsi vastapuolen asiakkaitamme vastaan nostamat jälleenvakuutuskorvausta koskevat vaatimukset kokonaisuudessaan. Riidan arvo oli noin 34 miljoonaa euroa.
Julkaistu 16.9.2025
Toimimme byFounders.vc:n suomalaisena neuvonantajana sen sijoittaessa DataCrunch Oy:hin 64 miljoonan dollarin A-sarjan rahoituskierroksessa. DataCrunch tarjoaa skaalautuvia tekoälylaskentaratkaisuja energiatehokkaista datakeskuksista Islannissa ja Suomessa. byFounders.vc on yhteisöpohjainen varhaisen vaiheen pääomasijoitusrahasto, joka sijoittaa maailmanlaajuisesti kunnianhimoisiin tiimeihin, joilla on yhteys Pohjoismaihin ja Baltian maihin.
Julkaistu 11.9.2025
Avustimme Springvest Oyj:tä sen järjestäessä avaruusteknologiayhtiö ReOrbitille 45 miljoonan euron series A -rahoituskierroksen tukemaan yhtiön kasvua. Kyseessä on Suomen suurin kokonaan osakkeilla toteutettu A-sarjan rahoituskierros ja yksi merkittävimmistä pääomasijoituksista Euroopan avaruus- ja puolustusalalla. Rahoituskierros on yhdistelmä erilaisia rahoitusmuotoja. Ammattimaisille ja institutionaalisille sijoittajille suunnatussa private placement -annissa olivat mukana mm. Icebreaker.vc, Expansion VC, 10x Founders, Inventure VC, Työeläkevakuutusyhtiö Varma ja Työeläkevakuutusyhtiö Elo. Kierroksen osana järjestettiin myös 8 miljoonan euron julkinen osakeanti, joka täyttyi 4,5 tunnissa. Springvest on listaamattomiin kasvuyhtiöihin erikoistunut sijoituspalveluyhtiö. ReOrbit on new space -yhtiö, joka suunnittelee ja valmistaa uuden sukupolven innovatiivisia ohjelmistokeskeisiä satelliitteja.
Julkaistu 9.9.2025